www.MegaLab.it

Una volta esistevano i virus multipartito: software nocivi che si nascondevano in più di una parte del sistema (file eseguibili, Master Boot Record, Boot Sector dei floppy disc, ...) per garantire a se stessi una maggiore resistenza ad eventuali controlli con software di sicurezza e antivirus. Oggi la fanno da padrone i malware complessi, la nuova generazione di codice maligno progettato e ottimizzato per un task specifico da professionisti del codice e criminali informatici.

Tra i malware più pericolosi attualmente in circolazione una menzione particolare va a Gromozon/LinkOptimizer. Tutto parte da alcune pagine web il cui primo dominio ha dato il nome alla minaccia (Gromozon, appunto): eseguendo script ideati per sfruttare alcune vulnerabilità di Internet Explorer, o impiegando tecniche di ingegneria sociale nel caso di browser più sicuri come Firefox e Opera, il malware deposita sul sistema una dll, che a sua volta si incaricherà di scaricare ed installare i diversi componenti dell'infezione.

Gromozon è appunto tanto complesso quanto coriaceo da affrontare e ripulire: il malware include un rootkit, un adaware e un servizio di Windows. Il componente rootkit, di tipo user mode, si nasconde all'interno dei flussi di dati contenuti negli Alternate Data Streams del file system NTFS, o impiegando nomi riservati del sistema operativo, normalmente utilizzati per indicizzare i dispositivi fisici e quindi di difficile rimozione per l'utente comune. Dopo essersi così garantita l'invisibilità, il rootkit installa nella directory di Windows una nuova dll, che in realtà non è altri che il LinkOptimizer, un ad-aware che apre su schermo pagine pubblicitarie durante la navigazione.

Ultimo atto per l'installazione in pianta stabile del malware è la creazione di un account falso di XP protetto da password, attraverso il quale si installa il servizio di sistema che ha il compito di aggiornare l'infezione con nuove versioni eventualmente disponibili. Il componente viene criptato attraverso l'EFS (Encrypting File System), funzionalità di cifratura integrata in Windows dalla versione 2000 in poi.

Col passare del tempo, l'infezione è persino peggiorata, arrivando a bloccare i software di scansione di rootkit e i tool di pulizia specifici messi a punto dalle società che stanno seguendo da vicino la minaccia. Ultima iniziativa in ordine di tempo adottata dal network criminale dietro Gromozon, è il blocco totale dell'accesso alle risorse web che maggiormente stanno contribuendo alla diffusione di informazioni e indicazioni su come liberare il sistema dall'infezione. Siti come quelli di Prevx, Suspectfile e Hardware Upgrade non risultano raggiungibili dai sistemi infetti dalle ultime versioni del malware.

Hardware Upgrade, in particolare, registra da giorni difficoltà di accesso da parte degli utenti. In una recente notizia pubblicata sul portale, la testata rende chiara la situazione, comunicando come i problemi di accesso non dipendano dai suoi server, come sembrerebbe dalle segnalazioni arrivate per e-mail, ma proprio dall'azione di filtering attuata dalle più recenti revisioni del codice maligno di Gromozon. Hardware Upgrade, lo ricordamo, gode della collaborazione di Marco Giuliani, ricercatore della società di sicurezza Prevx e autore dello studio più dettagliato attualmente disponibile in rete sulla minaccia (raggiungibile in formato PDF a questo indirizzo).

E proprio Prevx ha recentemente rilasciato un tool aggiornato in grado di avere ragione delle nuove revisioni di Gromozon. Il malware purtroppo si aggiorna ogni due o tre giorni, e finora solo poche società di sicurezza (la già citata Prevx e Symantec su tutte) sembrano averlo studiato in maniera approfondita.

In ultima nota, invitiamo a seguire il topic sul MegaForum per aggiornamenti sull'andamento dell'infezione e su come combatterla.